恢复为默认控制参数值 - Amazon Security Hub
在多个账户和区域中恢复为默认控件参数在一个账户和区域中恢复为默认参数值
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恢复为默认控制参数值

控制参数可以具有 Sec Amazon urity Hub CSPM 定义的默认值。有时,Security Hub CSPM 会更新参数的默认值以反映不断演变的安全最佳实践。如果您还没有为控制参数指定自定义值,则该控件会自动跟踪这些更新并使用新的默认值。

您可以恢复为使用控件的默认参数值。恢复说明取决于您是否在 Security Hub C SPM 中使用中央配置。中央配置是一项功能,委派的 Security Hub CSPM 管理员可以使用它来跨 Amazon Web Services 区域账户和组织单位配置 Security Hub CSPM 功能()。OUs

注意

并非所有控制参数都有默认的 Security Hub CSPM 值。在这种情况下,当设置ValueTypeDEFAULT时,Security Hub CSPM 不会使用特定的默认值。相反,在没有自定义值的情况下,Security Hub CSPM 会忽略该参数。

在多个账户和区域中恢复为默认控件参数

如果您使用中央配置,则可以恢复多个集中管理账户以及主区域和关联区域 OUs 中的控制参数。

选择您的首选方法,然后按照以下步骤,使用中心配置在多个账户和区域中恢复为默认参数值。

Security Hub CSPM console
恢复多个账户和区域中的默认控件参数值(控制台)

  1. 打开 S Amazon ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用主区域中委托的 Security Hub CSPM 管理员账户的凭据登录。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡。

  4. 选择一个策略,然后选择编辑

  5. 自定义策略下,控件部分显示了您为其指定自定义参数的控件列表。

  6. 找到具有一个或多个要恢复的参数值的控件。然后,选择删除以恢复为默认值。

  7. 在 “帐户” 部分中,验证要应用策略的账户或 OUs 账户。

  8. 选择下一步

  9. 再次检查您的更改,确认正确无误。完成后,选择保存策略并应用。在您的主区域和所有关联区域中,此操作将覆盖与 OUs 该配置策略关联的账户的现有配置设置。账户和 OUs 可以通过直接应用或从父级继承来与配置策略相关联。

Security Hub CSPM API
恢复多个账户和区域中的默认控件参数值(API)

  1. 从主区域的委托管理员账户调用 UpdateConfigurationPolicy API。

  2. 对于 Identifier 字段,提供要更新策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 SecurityControlCustomParameters 对象,请提供要为其恢复一个或多个参数的每个控件的标识符。

  4. Parameters 对象中,为要恢复的每个参数提供 DEFAULT 作为 ValueType 字段的值。当 ValueType 设置为 DEFAULT 时,无需为该 Value 字段提供值。如果您的请求中包含一个值,Security Hub CSPM 会将其忽略。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。

警告

如果在SecurityControlCustomParameters字段中省略控件对象,Security Hub CSPM 会将该控件的所有自定义参数恢复为其默认值。SecurityControlCustomParameters 的列表完全为空会将所有控件的自定义参数恢复为其默认值。

例如,以下 Amazon CLI 命令将的daysToExpiration控制参数恢复ACM.1为其在指定配置策略中的默认值。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

在一个账户和区域中恢复为默认参数值

如果您不使用中心配置或拥有自行管理账户,则可以恢复为每次在一个区域中使用账户的默认参数值。

选择您的首选方法,然后按照以下步骤在单个区域中将您的账户恢复为默认参数值。要在其他区域中恢复为默认参数值,请在每个其他区域中重复这些步骤。

注意

如果您禁用 Security Hub CSPM,则您的自定义控制参数将被重置。如果您将来再次启用 Security Hub CSPM,则所有控件都将使用默认参数值启动。

Security Hub CSPM console
在一个账户和区域中恢复默认控件参数值(控制台)

  1. 打开 S Amazon ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择控件。选择要恢复为默认值的参数。

  3. Parameters 选项卡上,选择控制参数旁边的自定义。然后,选择删除自定义。此参数现在使用默认的 Security Hub CSPM 值,并跟踪未来对默认值的更新。

  4. 对要恢复的每个参数值重复上述步骤。

Security Hub CSPM API
在一个账户和区域中恢复默认控件参数值(API)

  1. 调用 UpdateSecurityControl API。

  2. 对于 SecurityControlId,请提供要恢复其参数的控件的 ARN 或 ID。

  3. Parameters 对象中,为要恢复的每个参数提供 DEFAULT 作为 ValueType 字段的值。当 ValueType 设置为 DEFAULT 时,无需为该 Value 字段提供值。如果您的请求中包含一个值,Security Hub CSPM 会将其忽略。

  4. (可选)对于 LastUpdateReason,提供恢复为默认参数值的原因。

例如,以下 Amazon CLI 命令将的daysToExpiration控制参数恢复ACM.1为其默认值。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"